中欧数据跨境监管解析|互联网法律观察
【摘要】本期小编介绍欧盟的跨境数据保护规定,同时对照我国数据境外输出的目前监管,希望给从业者一些提醒和帮助。
金评媒(https://www.jpm.cn)编者按:本期小编介绍欧盟的跨境数据保护规定,同时对照我国数据境外输出的目前监管,希望给从业者一些提醒和帮助。
互联网消除了国界的障碍,也带来了用户对个人信息失控流通的恐惧。各国对于本国数据跨境(包括数据跨越国界的传输和处理;以及数据虽然没有跨越国界,但能够被第三国的主体访问)的监管要求也不尽一致,有的国家采用第三国适当性评估模式(例如欧盟),有的适用数据控制者担保模式(例如俄罗斯和澳大利亚),还有数据主体同意模式(如日本)。
欧盟2018年将要生效执行的《一般数据保护条例》(GDPR)号称目前世上最严格的个人信息保护法,本期小编介绍欧盟的跨境数据保护规定,同时对照我国数据境外输出的目前监管,希望给从业者一些提醒和帮助。
欧盟《一般数据保护条例》(GDPR)对于跨境数据的规定
向第三国传输数据的条件包括:
(1) 充分性决定 ,即是欧盟委员会在考察几项具体事项后,认定输入国能够充分地保护数据。考虑因素包括:
A.人权和基本自由保护的法律制度情况;
B. 公共机构获取该被转移信息的情况;
C. 是否存在信息保护执法机构及其执法有效性;
D. 有关个人信息保护的国际承诺和其他国际义务情况。
欧盟委员会作出充分认定后,将对该国至少每四年做一次审核。
目前通过欧盟委员会充分性认定的国家包括:安道尔、阿根廷、加拿大、法罗群岛、根西行政区、马恩岛、泽西行政区、新西兰、瑞士以及乌拉圭。和没有在名单中的
(2) 对于充分性决定的替代方案(数据控制者或数据处理者提供恰当的保障)
A.有约束的公司规则
B.标准合同条款:通过示范条款的方式,认可某些第三国的数据安全和隐私信息的适当性保护水平。
C.经批准的行为准则
D.经批准的认证机制 、封印或者标识,主要适用于公共机构之间
(3) 约束性企业规则,通过使用约束性企业规则,企业集团整体成为一个“安全港”,个人数据可以在集团之间跨境传输企业约束规则限于集团内的传输,而无论数据居于何处,都会得到同样的保护。约束性企业规则需包括的内容:
A. 适用于集团的每个成员或参与合作的集团企业,包括员工。
B. 明确数据主体对于数据处理的权利
C. 承诺集团的结构以及联系方式
D. 数据转移或转移类别包括个人数据的种类、处理模式、受影响的数据主体类型、输入的第三国
E. 法律约束力
F. 一般数据保护原则的适用
G. 数据主体的权利
H. 行使权利的方式
I. 信息如何向数据主体提供
J. 数据保护官
K. 投诉流程
L. 集团企业之间确保规则的机制(例如数据保护审计)
M. 经监管机构要求,提供对于负责监督规则的履行的人员或委员会的审核结果
N. 向监管机构汇报以及记录交换机制
O. 与监管机构的合作机制
P. 针对接触个人数据的人员进行的数据保护培训
GDPR同时规定了一些可以在不具备上述要求的情况下跨境传输的例外情况,包括数据主体的明确同意、为公共利益考虑、保护数据主体合法权益(数据主体确因特殊情况无法明示同意)、为数据控制者之合法权益等情形。
美欧数据跨境的合作
欧盟也特别关注与互联网行业先驱- 美国之间的数据跨境合同,并达成了双边约定。美欧之间的跨境数据流动合作主要经历了三个阶段:
第一阶段为双方在2000 年7 月签署的《安全港框架协议》阶段:美国企业可根据《安全港框架协议》自愿申请进入“安全港”,获得跨境传输数据的资格。加入安全港的公司需要遵守严格的信息处理要求。但由于针对企业、自愿加入等因素,《安全港框架协议》并不是一个很强的约束。
第二阶段2015年10月安全港协议被宣告无效*后,“标准合同条款”和“约束性企业规则”发挥作用的过渡阶段。
*安全港协议被宣告无效起因于“棱镜门”事件。当时,欧洲议会给出的理由是:《安全港协议》不足以保证数据隐私能够达到欧方提出的标准。
第三阶段为“隐私盾协议”和“保护伞协议”阶段。该协议对美国企业、政府获取和使用欧盟个人数据的权限做了进一步约束。同时规定欧盟公民的个人信息被美国公司侵害时,可以获得和美国公民一致的救济权利。
中国数据跨境的规定
1. 目前我国还没有加入到相关的国际协议或合作条约之中。我国没有独立的关于数据跨境流动的法律,相关内容散现于各类法律法规、部门规章等之中:
(1) 不可披露的数据 (国家机密)
-- 《保守国家秘密法》“禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密。”
-- 《档案法实施办法》:一级档案严禁出境,
-- 《中华人民共和国反恐怖主义法》要求对于跨境传输的包含恐怖主义和极端主义的信息,由电信主管部门采取技术措施,阻断传播
(2) 对于跨境传输数据的限制性规定
-- 《网络安全法》中规定关键信息基础设施的运营者在运营时收集和产生的个人信息和重要数据应在境内储存。“因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。
-- 《个人信息和重要数据出境安全评估办法(征求意见稿)》:网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。
-- 《征信业管理条例》第二十四条规定,“征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。征信机构向境外组织或者个人提供信息,应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定”
-- 《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六条规定,“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息”。
-- 《档案法实施办法》:一级档案严禁出境,二级档案出境必须经国家档案局批准,三级档案及其他国家、集体、个人所有的档案或者具有保密价值的档案出境,必须经省、自治区、直辖市人民政府档案行政管理部门审核批准。
-- 《信息安全技术公共及商用服务信息系统个人信息保护指南》在第5.4.5条规定,"未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构"。
-- 《关于加强党政部门云计算服务网络安全管理的意见》“为党政部门提供服务的云计算服务平台、数据中心等要设在境内。敏感信息未经批准不得在境外传输、处理、存储。”
-- 《关于大力推进信息化发展和切实保障信息安全的若干意见》“严格政府信息技术服务外包的安全管理,为政府机关提供服务的数据中心、云计算服务平台等要设在境内”“明确敏感信息保护要求,强化企业、机构在网络经济活动中保护用户数据和国家基础数据的责任,严格规范企业、机构在我国境内收集数据的行为。”
2. 跨境数据转移条件:
我国《网络安全法》对跨境数据转移规制的理由选择了“安全评估”。
根据《网络安全法》的原则性要求,2017年国家互联网信息办公室以及全国信息安全标准化技术委员会先后发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(《评估办法》)和《信息安全技术数据出境安全评估指南(草案)》(《评估指南》)。主要内容包括:
(1) 基本原则: 数据出境安全评估应遵循公正、客观、有效的原则
(2) 自评估体系: 网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责
(3)评估内容: 数据出境安全评估应重点评估以下内容:
-- 数据出境的必要性;
-- 涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;
-- 涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;
-- 数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;
-- 数据出境及再转移后被泄露、毁损、篡改、滥用等风险;
-- 数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;
-- 其他需要评估的重要事项。
(4) 个人信息出境评估的主要内容:
-- 个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。未成年人个人信息出境须经其监护人同意
-- 应评估出境个人信息范围是否符合最小化原则
-- 应对个人信息技术处理情况进行评估,具体包括:是否使用技术措施对个人信息进行了脱敏处理;脱敏效果是否有效可靠,达到了合理程度的不可逆。
-- 对数据接收方所在国家或地区的政治法律环境的评估应包括:
该国家或地区现行的个人信息保护法律、法规、标准情况,与我国个人信息保护法律、法规、标准提供的保护水平相比较的差异性;
该国家或地区加入的区域或全球性的个人信息保护方面的机制,以及所做出的具有约束力的承诺;
该国家或地区落实个人信息保护的机制,如是否具有法定的个人信息保护机构、相关司法机制、行业自律协会和自律机制等,以及为个人提供的行政和司法救济渠道的有效性。
(5) 需要报请主管部门进行安全评估的情形: 出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:
-- 含有或累计含有50万人以上的个人信息;
-- 数据量超过1000GB;
-- 包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
-- 包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
-- 关键信息基础设施运营者向境外提供个人信息和重要数据;
-- 其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。
3. 非法进行数据跨境的处罚
(1) 《网络安全法》第66条规定,企业违反跨境数据转移安全评估规定的,由有关主管部门责令改正,给予警告,没收违法所得,处5万至50万元以下的罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处以1万至10万元的罚款。
(2) 《刑法》分则专章规定“危害国家安全罪”,第一百一十一条为“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”。
中国企业面对数据跨境流动的困境和建议
中国企业在欧开展的业务日益扩大,特别是银行、电子商务、互联网、IT 企业和软硬件生产商因涉及个人信息处理,势必会成为GDPR 主要规制的对象以及不可避免的出现数据的跨境流动。但目前我国个人信息和数据保护特别是数据跨境流动的政策体系尚新,中国没有加入有关数据保护的任何国际公约,也没有与欧盟就数据保护以及跨境流动建立任何正式的两国协作体系(类似欧美的隐私盾协议)。因此现有政策的掣肘必然会给走出国门的中国企业带来一定的困扰,在目前的政策下,我们建议企业应该重点注意以下几方面:
(1) 在欧盟境内进行个人数据的采集、处理或监控行为的。根据GDPR 的最新法律适用的扩张,无论境外机构在欧盟境内是否设立实体,只要存在个人数据的采集、处理或监控等行为均应遵守GDPR。因此,对于需要在欧盟境内从事业务并获取个人数据的企业,应尽快熟悉这部全世界最严的个人信息保护法(2017 年4 月,全球网络安全厂商Veritas Technologies 问卷调查显示,高达90% 的亚太地区企业对GDPR 知之甚少,95% 的受访者认为,其所在企业的现行做法并不符合新的立法要求。),特别要注意其中与中国目前的法律以及实践不同的要求(例如建立DPO, 安全技术措施、明示确认等),针对海外行为审查、修订并建立符合当地法律的企业内控制度。
(2) 向境外输出境内信息或数据的。严格遵守《网络安全法》以及其他相关法律的规定,对法律要求在境内存储的关键信息基础设施等信息做好信息本地化的技术准备。严格杜绝涉及国家机密的信息的出口,关键信息基础设施、重要数据以及个人信息等限制性出口数据进行准确识别并按规定进行安全评估。鉴于《网络安全法》才实施不久,《评估指南》以及《评估办法》也还处于草案阶段,建议企业还是应该从严自我要求,并积极与主管部门沟通,完善相应内部评估以及外部手续。
(3) 向境内输入欧盟个人信息或数据的。遵守GDP R的数据跨境流通规则。鉴于中国尚未禁入欧盟的“充分性决定”名单,企业应与当地的数据控制者就数据流通的合法程序进行充分的准备和沟通,采取有效的替代方案。
(4) 针对外国法院或其他企业、机构要求中国公司提供数据要求的。应在数据提供前,审慎调研是否与中国法律要求相抵触法。针对限制跨境传输的数据,企业需要和国内相关部门进行有效沟通,并获得跨境传输数据的批准。针对用户个人数据,企业需提前征得用户的同意,并在中国境内对可识别到个人的信息进行保密处理。
(编辑:郑惠敏)
享法Joy-Legal
喜欢各种互联网法律类型的文章
